UN CADRE DE SURVEILLANCE DES RISQUES À L INTENTION DES CONSEILS D ADMINISTRATION par John E. Caldwell, CA
2012 L Institut Canadien des Comptables Agréés Tous droits réservés. Cette publication est protégée par des droits d auteur et ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise de quelque manière que ce soit (électroniquement, mécaniquement, par photocopie, enregistrement ou toute autre méthode) sans autorisation écrite préalable. Pour obtenir des renseignements concernant l obtention de cette autorisation, veuillez écrire à permissions@cica.ca. Catalogage avant publication de Bibliothèque et Archives Canada Caldwell, John E. (John Edward) Un cadre de surveillance des risques à l intention des conseils d administration / par John E. Caldwell. Traduction de: A framework for board oversight of enterprise risk. Comprend des réf. bibliogr. Publ. aussi en format électronique. ISBN 978-1-55385-690-0 1. Gestion du risque. 2. Gouvernement d entreprise. 3. Conseils d administration. I. Institut canadien des comptables agréés II. Titre. HD61.C3414 2012 658.15 5 C2012-904409-1
III Préface Le Conseil sur la surveillance des risques et la gouvernance (CSRG) de l Institut Canadien des Comptables Agréés (ICCA) a élaboré le cadre de surveillance exposé dans le présent document afin d aider les conseils d administration à s acquitter de leurs responsabilités en matière de surveillance des risques. La présente analyse des questions relatives à la surveillance des risques prend la forme d un processus en neuf étapes qui vise à aider les conseils : à mieux identifier et traiter les risques cruciaux; à comprendre les liens entre les différents risques; ʶ ʶ à comprendre l effet multiplicateur possible des risques lorsque plusieurs événements défavorables se produisent simultanément. Bien qu il n appartienne pas aux conseils de participer à la gestion des risques au quotidien, les événements récents montrent la nécessité d une participation plus proactive et plus directe de la part des conseils qui va au-delà du modèle traditionnel de surveillance des risques. Le CSRG tient à remercier les membres du Groupe consultatif des administrateurs pour leurs précieux conseils, l auteur, John E. Caldwell, ainsi que les permanents de l ICCA qui ont contribué au projet. Huw Thomas, CA Président Conseil sur la surveillance des risques et la gouvernance Auteur John E. Caldwell, B.Comm., CA Direction du projet Gigi Dawe Directrice de projets, Surveillance des risques et gouvernance Responsable nationale, Gouvernance, stratégie et gestion des risques, ICCA Conseil sur la surveillance des risques et la gouvernance Huw Thomas, CA, président Alex Guertin, CA Bryan Held, FCA, IAS.A. Andrew J. MacDougall, LL.B. Giles Meikle, FCA Sue Payne, FCA, C.Dir. Deborah Rosati, FCA, IAS.A. Catherine Smith, IAS.A., FICB John E. Walker, CA, LL.B. Richard Wilson Groupe consultatif des administrateurs Giles Meikle, FCA, président Hugh Bolton, FCA John E. Caldwell, B.Comm., CA William Dimma, F.ICD, IAS.A. Gordon Hall, FSA, IAS.A. Carol Hansell, LL.B. Thomas C. Peddie, FCA Guylaine Saucier, CM, FCA, F.ICD Hap Stephen, CA Peter Stephenson, Ph.D., IAS.A. Janet Woodruff, FCA, IAS.A.
V Table des matières Introduction...1 Sommaire des questions essentielles...3 Un cadre de surveillance des risques à l intention des conseils d administration...8 Préparation à la mise en œuvre du cadre de surveillance... 11 I Définition du contexte...16 II Identification et classement des risques par catégorie... 18 II.I Risques stratégiques... 21 II.II Risques liés aux regroupements d entreprises... 27 II.III Risques financiers... 32 II.IV Risques organisationnels... 35 II.V Risques opérationnels...38 II.VI Risques externes... 40 II.VII Cygnes noirs...41 II.VIII Autres risques...42 III Analyse des conséquences...46 IV Analyse de l interconnectivité et de l effet multiplicateur des risques...50 V Nouvelle analyse des conséquences... 55 VI Établissement des priorités... 57 VII Capacité d assumer le risque, tolérance au risque et propension à prendre des risques...59 VIII Stratégie de réponse...64 IX Suivi... 67 Dernières observations...69 Annexe 1 : Analyse au moyen d une carte des priorités Entreprise de fabrication...70 Annexe 2 : Mise en œuvre du cadre... 73
Introduction Dans la foulée de la crise financière et de la récession mondiale, la surveillance des risques d entreprise reste un sujet d actualité pour les conseils d administration. Le réexamen du rôle du conseil dans la surveillance du risque d entreprise ne s est pas limité aux questions posées par les investisseurs ou les conseils quant à ce qui aurait pu être fait pour mieux comprendre et traiter les risques de façon proactive. La SEC, la Bourse de New York et d autres organismes de réglementation poursuivent leur examen des obligations d informations concernant les risques d entreprise. La surveillance des risques est une priorité pour la plupart des conseils, mais elle est aussi un sujet relativement peu familier à nombre d entre eux. Quel rôle le conseil doit-il jouer en matière de gestion des risques? Dans le modèle de gouvernance traditionnel, le conseil ne peut, ni ne devrait, se mêler de la gestion des risques au quotidien. Les administrateurs doivent plutôt, dans le cadre de leur rôle de surveillance, s assurer que des processus efficaces de gestion des risques existent et fonctionnent efficacement. Le système de gestion des risques doit permettre à la direction de porter à l attention du conseil les risques importants pour l entreprise et d aider le conseil à comprendre et à évaluer les liens entre les risques, l incidence potentielle des risques pour l entreprise et la manière dont ils sont gérés. Pour effectuer une évaluation significative de ces risques, les administrateurs doivent posséder l expérience, la formation voulues et connaître l entreprise. Le nombre de faillites très médiatisées qui se produisent chaque année, tant les faillites imprévues que les faillites prévisibles, montre que s en remettre entièrement aux processus et aux modèles de gestion des risques de la direction, ou l absence de processus ou de modèles efficaces de gestion des risques, peut avoir des conséquences inattendues et parfois catastrophiques. Ces catastrophes entrepreneuriales qui font la une sont souvent citées comme des exemples extrêmes de l échec des systèmes de gestion des risques et de la surveillance exercée par le conseil. Cependant, pour la plupart des entreprises, les conséquences d un tel échec seront plus vraisemblablement une mauvaise performance et une perte de valeur pour les actionnaires. La gestion et la surveillance efficaces des risques par le conseil ne devraient pas être fondées sur l évitement des risques. Toutes les entreprises sont exposées à des risques, et prennent des risques, continuellement. L important, c est de gérer l équilibre des risques et des avantages, et de cerner et de réduire, dans la mesure du possible, les conséquences d événements néfastes. À notre avis, les conseils doivent jouer un rôle plus actif et plus direct dans l évaluation des risques, un rôle qui va bien au-delà de la surveillance traditionnelle des processus de gestion des risques. Les risques liés au leadership et à la stratégie sont de bons exemples d éléments à l égard desquels le conseil doit s affirmer plus directement, car on ne peut s attendre à ce que la direction évalue objectivement sa propre performance, ses capacités et sa stratégie dans ces domaines sur le plan de la gestion des risques. Contrairement aux autres responsabilités propres aux conseils et aux comités, comme la surveillance de la présentation de l information financière, la surveillance des risques n est pas régie par des normes et il existe peu de sources, voire aucune source, faisant autorité sur lesquelles les conseils peuvent s appuyer. Le présent document ne vise pas à conseiller les administrateurs sur la création d un système de gestion du risque d entreprise ou d un processus technique de gestion des risques par la direction. L exécution de ces tâches convient mieux à la direction. Le présent document ne couvre pas non plus la question de la gestion de crises. Il vise plutôt à présenter une approche pratique pour la surveillance des risques à l intention des conseils d administration, y compris un cadre, une méthode et des outils 1. 1 Pour en savoir plus sur la gestion de crises, voir 20 Questions que les administrateurs devraient poser sur la gestion de crises.
Introduction Questions essentielles 3 Sommaire des questions essentielles Surveillance Quel est le rôle du conseil dans la surveillance des risques? Généralement, les conseils d administration ont pour tâche d exercer une surveillance sur l identification et l évaluation du risque d entreprise et, dans la mesure du possible, d atténuer ce risque. Il est généralement admis que les conseils doivent surveiller les systèmes et processus de gestion des risques et revoir continuellement la planification et les résultats de ces processus. Bref, ce rôle de surveillance est plutôt passif et signifie que le conseil doit s appuyer fortement sur la direction. Toutefois, dans certaines circonstances, le conseil doit prendre la direction de l évaluation des risques. Par exemple, une mauvaise stratégie ou l incapacité de mettre en œuvre une stratégie peut constituer un risque majeur pour l entreprise. Comment la direction peut-elle évaluer d un œil critique la stratégie qu elle a elle-même élaborée ou apprécier objectivement sa capacité de la mettre en œuvre? De même, la qualité et l efficacité de l équipe de direction d une entreprise, y compris le chef de la direction, peuvent représenter un risque majeur. Comment la direction peut-elle s autoévaluer? Questions que les administrateurs devraient poser : Le conseil comprend-il clairement son mandat et son rôle de surveillance? ʶ ʶ Le conseil s acquitte-il suffisamment activement de cette partie de son mandat? ʶ ʶ Les administrateurs ont-ils la même compréhension pratique de leur responsabilité à l égard de la surveillance des risques? Cette compréhension est-elle la même que celle qu en ont le chef de la direction et l équipe de direction? ʶ ʶ Le conseil comprend-il la distinction entre sa «responsabilité de surveillance des risques» et sa responsabilité de «communication d informations sur les risques»? ʶ ʶ Les objectifs de la responsabilité du conseil à l égard des risques sont-ils compris? Connaissance et compréhension que chaque administrateur a des risques Nous croyons qu à la question de savoir s ils comprennent le risque d entreprise, la plupart des administrateurs répondraient par l affirmative. Pourtant, il est courant que des entreprises se trouvent en situation de crise et même de faillite et alors, invariablement, on se demande : «Où étaient donc les administrateurs?» Questions que les administrateurs devraient poser : Les membres du conseil font-ils une appréciation adéquate et actuelle de la nature des risques auxquels l organisation est exposée, ainsi que du type et des sources de risque? Le conseil comprend-il vraiment les interdépendances et le fait que des événements ou des situations se produisent simultanément peut entraîner un désastre? Fait-on abstraction des risques d entreprise apparemment inconcevables sous prétexte que leur matérialisation semble très improbable? Le conseil possède-t-il la combinaison nécessaire de connaissances et d expérience à l égard de l entreprise et du secteur d activité pour évaluer les risques?
4 Un cadre de surveillance des risques à l intention des conseils d administration Principaux objectifs du conseil en matière de gestion du risque d entreprise On croit souvent que les principaux objectifs de la surveillance des risques par le conseil consistent à préserver la viabilité de l entreprise et à accroître la valeur pour les actionnaires. En réalité, la probabilité d une faillite complète est faible pour la plupart des entreprises. Questions que les administrateurs devraient poser : Au-delà de l objectif évident de préserver la viabilité de l entreprise, les membres du conseil comprennent-ils que le résultat le plus probable d une gestion inefficace des risques est une mauvaise performance et une perte de valeur pour les actionnaires? Inversement, le conseil reconnaît-il qu un des principaux objectifs d un processus rigoureux de surveillance du risque d entreprise est d améliorer la performance et d accroître la valeur actionnariale? Détermination de la capacité d une entreprise d assumer un risque, de sa tolérance au risque et de sa propension à prendre des risques Qu elles le veuillent ou non, les entreprises font constamment face à des risques. En fait, l une des responsabilités continues de la direction consiste à évaluer les risques et à établir un équilibre adéquat entre les risques et les avantages. Questions que les administrateurs devraient poser : Le conseil examine-t-il et mesure-t-il périodiquement la capacité de l entreprise d assumer et de gérer les risques? Le conseil comprend-il la différence entre la capacité de l entreprise d assumer un risque, sa tolérance au risque et sa propension à prendre des risques? Le conseil évalue-t-il sciemment les risques et les avantages lorsqu il examine les grandes initiatives stratégiques ou tactiques de l entreprise? Le conseil dispose-t-il d un cadre lui permettant de porter des jugements sérieux concernant la tolérance au risque et la propension à prendre des risques?
Introduction Un cadre de surveillance des risques 5 Structure et organisation du conseil aux fins du traitement des risques Divers modèles d organisation sont actuellement utilisés par les conseils aux fins de la surveillance des risques. Dans bien des cas, l évaluation des risques est déléguée à un ou plusieurs comités relevant du conseil. Dans d autres cas, c est le conseil dans son ensemble qui en assume la responsabilité. Dans certains cas, les conseils omettent tout simplement d attribuer cette responsabilité. Questions que les administrateurs devraient poser : La responsabilité de la surveillance des risques est-elle clairement attribuée? Le président du conseil et le chef de la direction soutiennent-ils un cadre dynamique et rigoureux de gestion des risques? Lorsque la responsabilité de la surveillance des risques est déléguée à un ou plusieurs comités, ceux-ci ont-ils la capacité de surveiller les risques au sens le plus large? Prévoit-on suffisamment de temps pour l exercice de cette responsabilité? Dans les ordres du jour du conseil, favorise-t-on l intégration des questions liées aux risques aux autres points à l étude, par exemple aux questions liées à la stratégie, à l organisation et à la finance? Approche de la direction en matière de risque d entreprise L approche adoptée par la direction à l égard des risques peut varier énormément. À un bout du spectre, on trouve des processus de gestion du risque d entreprise hautement structurés et des ressources organisationnelles spécialisées. À l autre extrémité, on observe des approches simplistes et passives qui consistent à se préoccuper du risque, soit généralement des dépenses importantes, après coup ou dans le cadre d une analyse FFPM (forces, faiblesses, possibilités et menaces). Questions que les administrateurs devraient poser : La direction dispose-t-elle d un cadre rigoureux et d un processus global en matière d évaluation des risques? Le conseil accepte-t-il trop aisément l évaluation des risques faite par la direction, même lorsque cette évaluation semble superficielle? Les processus ou les systèmes de gestion des risques sont-ils bien conçus, de sorte que les risques sont gérés globalement plutôt que de manière cloisonnée? L entreprise dispose-t-elle de systèmes et de processus adéquats pour surveiller l efficacité de la gestion des risques? Le conseil et l équipe de direction tirent-ils des leçons des situations dans lesquelles les stratégies et les systèmes de gestion des risques ont été inefficaces, et prennent-ils des mesures à cet égard? La direction peut-elle évaluer les risques adéquatement et objectivement alors qu elle a conçu le cadre d évaluation des risques? La direction est-elle assez ouverte et assez humble pour reconnaître ses lacunes et a-t-elle le courage de reconnaître que la stratégie est déficiente et qu il faut changer de cap? La tolérance au risque et la propension à prendre des risques sont-elles intégrées dans le plan stratégique de l entreprise? Sont-elles appropriées?
6 Un cadre de surveillance des risques à l intention des conseils d administration Interrelations et effet multiplicateur des risques Les faillites d entreprises, tout comme les catastrophes aériennes, sont habituellement le résultat de nombreux facteurs survenant simultanément. Avec du recul, les origines de ces événements malheureux aux conséquences souvent désastreuses ne sont que trop évidentes. Questions que les administrateurs devraient poser : La direction comprend-elle l interconnectivité des risques et leur interdépendance? Le conseil reconnaît-il que l entreprise puisse être exposée à plusieurs risques interdépendants de sorte que des risques même minimes peuvent avoir de graves conséquences? Les liens entre les risques sont-ils négligés sous prétexte que la probabilité qu un événement défavorable se produise est faible? Le conseil dispose-t-il d un cadre adéquat pour comprendre les liens entre les risques, l interdépendance des risques et leur effet multiplicateur? Risques stratégiques Les plans stratégiques sont mis au point en vue de tracer l orientation future de l entreprise, de définir les bases de son avantage concurrentiel et d établir des plans particuliers pour l atteinte de ses objectifs financiers et autres objectifs. Puisque l établissement d une stratégie implique des choix, les risques sont inhérents à presque tous les plans stratégiques 2. Questions que les administrateurs devraient poser : Le conseil comprend-il les liens entre la stratégie et les risques, et en discute-t-il? Le conseil évalue-t-il les plans stratégiques dans l optique des possibilités d échec et des conséquences potentielles? Le conseil intègre-t-il l évaluation des risques et les choix connexes dans les plans stratégiques? Le conseil dispose-t-il d un cadre et d outils tels qu une analyse de la concurrence et la simulation de crise à l aide de la modélisation pour comprendre les conséquences des risques stratégiques? Communication de l information adéquate en temps opportun Généralement, les conseils d administration et leurs comités reçoivent beaucoup d informations au sujet de la performance trimestrielle, ainsi que sur les projets annuels et à long terme, en sus de l information propre aux comités. Questions que les administrateurs devraient poser : Outre les documents complémentaires aux plans stratégiques et les données liées à l information financière portant sur le risque, le conseil reçoit-il des rapports complets sur les risques? Cette information est-elle suffisante pour permettre de porter des jugements avisés sur les risques et la gestion des risques? 2 Pour plus d informations, voir 20 Questions que les administrateurs devraient poser sur la stratégie, 3 e édition.
Introduction Un cadre de surveillance des risques 7 Experts externes Généralement, les conseils d administration ont accès à des conseils d experts en matière de droit, de comptabilité, de rémunération, de financement et de regroupements d entreprises. Questions que les administrateurs devraient poser : Y a-t-il des experts réputés en mesure de guider le conseil relativement à diverses questions liées aux risques? Le conseil fait-il régulièrement appel à de tels experts? Évaluation du rendement et rémunération de la direction Les conseils d administration évaluent les membres de la direction à l aide de diverses mesures et autres critères. La politique de rémunération et les critères d évaluation visent généralement à inciter les dirigeants à faire concorder leurs objectifs avec ceux de l entreprise. Questions que les administrateurs devraient poser : Le conseil inclut-il la gestion des risques dans les critères d évaluation des dirigeants? Les pratiques de rémunération actuelles contribuent-elles ou nuisent-elles à une gestion prudente des risques?
8 Un cadre de surveillance des risques à l intention des conseils d administration Un cadre de surveillance des risques à l intention des conseils d administration L absence de cadre et d un ensemble d outils complets pour aider les conseils à structurer un processus de surveillance du risque d entreprise efficace et solide constitue une préoccupation courante parmi les conseils d administration. La responsabilité de surveillance des risques qui incombe au conseil et celle de la gestion du risque d entreprise qui incombe à la direction devraient être clairement délimitées. Le présent document définit un cadre et une approche systématique qui intègrent certains éléments des processus de gestion des risques traditionnels, mais qui sont adaptés au rôle de surveillance du conseil. Avant d examiner ce cadre, il serait bon de distinguer la gestion du risque d entreprise effectuée par la direction de la surveillance des risques exercée par le conseil. Gestion du risque d entreprise 3 La gestion du risque d entreprise (GRE) est un outil de gestion qui englobe les méthodes et les processus utilisés par les organisations pour gérer les risques rattachés à la réalisation de leurs objectifs. Un cadre typique de GRE aide la direction : à cerner les circonstances ou les événements défavorables particuliers en rapport avec les objectifs de l organisation; à évaluer la probabilité de matérialisation des risques et l ampleur de leur incidence; à décider d une réponse ou d une stratégie d atténuation; à établir un processus de suivi. En identifiant et en traitant les risques de manière proactive, les entreprises peuvent améliorer leur performance, protéger les actionnaires et créer de la valeur pour ces derniers. On peut également décrire la GRE comme une approche de gestion de l entreprise fondée sur le risque, qui intègre la planification stratégique, la gestion des activités et le contrôle interne. La GRE évolue vers la prise en compte des besoins des diverses parties prenantes qui veulent comprendre le large spectre des risques auxquels font face les organisations complexes, afin de s assurer que ces risques sont gérés de manière appropriée. Surveillance des risques par le conseil Le rôle du conseil à l égard de la surveillance des risques ressemble à certains égards à celui du comité d audit. Le comité d audit n établit pas d états financiers, ne prépare pas les informations à fournir et ne gère pas le système de contrôle interne. Il est plutôt chargé de surveiller les processus d information financière et de contrôle interne qui s y rapportent. De même, il n incombe pas aux conseils d administration d identifier, d analyser et d atténuer les risques qui se posent à l entreprise, ni d en faire le suivi de manière unilatérale. Ils doivent plutôt surveiller les systèmes et les processus de gestion des risques tout en examinant sur une base continue les résultats et la planification connexes. Comme nous l avons déjà mentionné plus haut et il n est pas inutile de le répéter le rôle de surveillance ne devrait pas être passif ni impliquer que le conseil s en remet 3 Pour plus d informations sur les cadres de gestion du risque d entreprise, voir Enterprise Risk Management Integrated Framework, COSO, et ISO 31000, Risk Management Principles and Guidelines, 2009.
Introduction Un cadre de surveillance des risques 9 dans une trop grande mesure à la direction. Le succès des processus de surveillance des risques mis en œuvre par le conseil exige que ce dernier ait confiance en la direction, qu il ait accès à des informations pertinentes et fiables et qu il puisse compter sur un fonctionnement efficace de ses propres processus. Modèle de participation du conseil à la surveillance des risques On trouvera à la page 14 un modèle de cadre de surveillance des risques. En bref, les activités principales sont les suivantes : identifier les risques; analyser les risques, les valider et les classer par ordre d importance; déterminer la tolérance au risque et la propension à prendre des risques; gérer les risques au moyen de diverses stratégies de réponse; assurer un suivi constant des risques. Les divers intervenants qui contribuent au bon fonctionnement de ce modèle varient d une organisation à l autre. Dans les organisations de grande taille, ce groupe d intervenants comprend généralement : le conseil d administration l équipe de direction; le personnel d exploitation et le personnel des services fonctionnels; les responsables de la gestion des risques et de la conformité, notamment les responsables de l audit interne et les conseillers juridiques à l interne; les experts externes, notamment les auditeurs, les cabinets d avocats et les conseillers externes; d autres parties prenantes, notamment les prêteurs et les investisseurs, le cas échéant. Dans les organisations de taille plus modeste, de nombreuses tâches peuvent être combinées et confiées à des membres de la direction et des directeurs principaux ou encore, être externalisées. Il va de soi que l équipe de direction, présidée par le chef de la direction, est responsable de la gestion globale du risque d entreprise. Le conseil d administration a la responsabilité d exercer une surveillance et doit rendre des comptes sur la performance globale de l entreprise et la protection de ses actifs. Dans le contexte du cadre de gestion des risques, le conseil est aussi censé intervenir et se prononcer à des degrés divers à l égard de l identification, de l analyse et de la validation des risques, de l établissement des priorités, de la tolérance au risque et de la propension à prendre des risques, et enfin des stratégies de réponse et des activités de suivi. Comme il est mentionné plus haut, les conseils devraient assumer un rôle plus actif dans la surveillance de certains types de risque. L importance de la participation du conseil variera selon le niveau des risques. Risques de niveau 1 Les risques de niveau 1 comprennent les risques opérationnels habituels, comme les risques pour la santé, la sécurité et l environnement, les risques liés aux pannes des installations et des systèmes, ainsi que d autres risques dont l effet négatif possible sur l entreprise est modéré ou dont elle s est déchargée à l aide d une assurance ou par d autres moyens.
10 Un cadre de surveillance des risques à l intention des conseils d administration Si le conseil est satisfait de l efficacité des systèmes et des processus de gestion des risques, la surveillance exercée pour les risques de niveau 1 se limitera à la procédure habituelle : poser des questions; analyser les rapports périodiques, donner des conseils et assurer un suivi. Risques de niveau 2 La participation du conseil à la surveillance des risques sera accrue pour les risques de niveau 2, qui se divisent en deux catégories : 1) les risques graves qui ne peuvent être adéquatement atténués; 2) les risques liés à un parti pris de la direction. Dans le cas de risques graves de niveau 2, le conseil travaillera en étroite collaboration avec l équipe de direction pour comprendre ces risques, les quantifier, les classer par ordre d importance, les atténuer et les surveiller. Le risque de financement, par exemple, entre dans cette catégorie lorsque l entreprise est très exposée au risque d illiquidité en raison de son modèle d affaires, de sa structure de capital ou de l incidence possible sur le bilan de la matérialisation d un autre risque aux conséquences néfastes. Dans le cas de risques de niveau 2 liés à un parti pris de la direction, la participation du conseil consistera notamment à comprendre en profondeur les faits et les hypothèses sous-jacents et la manière dont le risque peut être quantifié, validé, surveillé et faire l objet de simulations de crise à l aide de la modélisation financière. Le risque stratégique, par exemple, entre dans cette catégorie puisque la direction a conçu la stratégie et est responsable de son exécution. Elle aurait donc de la difficulté à évaluer objectivement sa viabilité et les risques qui y sont liés. Une participation accrue du conseil ne signifie pas qu il prend tout en main en excluant la direction. Il s agit plutôt d un intense travail de collaboration entre le conseil, le chef de la direction et son équipe. Risques de niveau 3 Les risques de niveau 3 comprennent les cas où la direction est clairement en conflit ou fait preuve d un parti pris très net. La présence de tels risques nécessite une participation intensive du conseil. L exemple le plus évident et sans doute le plus important de ce type de risque concerne l évaluation de la performance, de la compétence du chef de la direction et de son aptitude à exercer ses fonctions. Cette évaluation est clairement une responsabilité cruciale que le conseil doit exercer avec leadership. Dans certaines circonstances, le conseil doit jouer un rôle plus actif ou un rôle de leader dans l évaluation des risques. Par exemple, une mauvaise stratégie ou le fait de ne pas mettre en œuvre une stratégie peut constituer un risque majeur pour l entreprise. Comment la direction peut-elle évaluer d un œil critique la stratégie qu elle a elle-même élaborée ou apprécier objectivement sa capacité de la mettre en œuvre? De même, la qualité et l efficacité de l équipe de direction d une entreprise, y compris le chef de la direction, peuvent représenter un risque majeur. Est-il juste ou même possible que la direction s autoévalue?
Introduction Un cadre de surveillance des risques 11 Préparation à la mise en œuvre du cadre de surveillance Aperçu Le meilleur plan stratégique ne peut porter ses fruits s il n est pas mis en œuvre. De même, le succès ou l échec du présent cadre de surveillance des risques tient à son application. Comme les circonstances propres de chaque entreprise et de son conseil diffèrent, il n existe pas un modèle unique de mise en œuvre. Chaque conseil doit établir une méthode d application qui lui est propre. Au début, la surveillance des risques peut être une tâche peu familière à nombre de conseils. Par conséquent, ils doivent être prêts à modifier le cadre de surveillance au fil de sa mise en œuvre. Tout comme dans le cas d autres processus importants du conseil, la mise en œuvre complète d une méthode exhaustive de surveillance des risques par le conseil d administration pourrait nécessiter plusieurs étapes s étalant sur deux ou trois ans. Le succès dépendra de la qualité du leadership, de la planification et de la participation directe tant des membres du conseil que de la haute direction. L Annexe II présente les phases de la mise en œuvre. Leadership Il ne fait aucun doute que le succès de la surveillance des risques par le conseil est directement lié au leadership. Il peut être tentant d assigner ce leadership à un président de comité mais, sans le soutien du président du conseil et du chef de la direction, il est peu probable que le processus fasse l unanimité ou qu il devienne un élément du programme de travail annuel du conseil. Il importe aussi que le chef de la direction reconnaisse que le conseil a la responsabilité d évaluer le risque organisationnel au niveau de la haute direction et d effectuer une évaluation critique de la stratégie de la direction en matière de risques, et qu il lui donne son appui. Participation directe des membres du conseil La surveillance des risques doit être une activité concrète pour le conseil. Elle consiste non pas tant à examiner les communications de la direction qu à tirer parti des capacités et de l expérience de l ensemble du conseil au moyen de discussions et d échanges lucides. Tant le conseil que la direction devront y consacrer beaucoup de temps. Le conseil et le chef de la direction doivent faire preuve d un leadership sans faille pour surmonter la résistance de la direction à l égard de ce processus en raison du temps qu il faut lui consacrer. Surveillance des risques : rôles du conseil et des comités Chaque conseil doit déterminer la manière dont il souhaite assigner les responsabilités relatives à la surveillance des risques. Certains voudront déléguer une partie ou l ensemble de cette responsabilité à un ou à plusieurs comités existants, ou encore, à un nouveau comité. Certains risques, comme les risques financiers et organisationnels, se prêtent bien à la surveillance d un comité. Toutefois, tout comme c est le cas en ce qui concerne la surveillance de la stratégie, il faut se rappeler qu au bout du compte, le conseil dans son ensemble est responsable de la surveillance des risques et a avantage à mettre à profit toutes ses ressources.
12 Un cadre de surveillance des risques à l intention des conseils d administration Réunions distinctes En raison de l importance des réunions portant sur l examen du plan stratégique et du temps qu elles nécessitent, la plupart des conseils prévoient la tenue de réunions distinctes sur une base régulière. Pour les mêmes raisons, les conseils devraient prévoir des réunions entièrement consacrées au risque d entreprise, particulièrement au cours de la première ou des deux premières années, afin de régler les problèmes inévitables de mise en œuvre. Il peut être utile de tenir les réunions portant sur les risques après les réunions de planification stratégique afin de faciliter la réflexion sur le risque stratégique. Planification des réunions Il peut être utile pour le conseil et la direction de préparer à l avance le contenu des réunions sur la surveillance des risques et de comprendre quelles sont les données et les analyses nécessaires. Ce processus se répétera probablement, car la surveillance des risques demeure une activité relativement peu familière. Il pourrait être utile également de parcourir chacune des neuf étapes du processus exposées dans le présent document afin de déterminer les résultats voulus et le travail requis. À la fin de chaque réunion, le conseil devrait prendre note de toute lacune dans les données ou les processus afin de mieux préparer les réunions suivantes. L Annexe II présente les phases de la mise en œuvre. Rôle et mise à contribution des conseillers et des parties intéressées Dans le présent document, il est souvent fait mention du rôle des conseillers et consultants externes, surtout quand il s agit d obtenir une expertise spécifique ou encore une analyse ou des conseils impartiaux. Les petites et moyennes entreprises n ont peut-être pas les moyens de recourir fréquemment à des conseillers. Le conseil de ces entreprises doit faire preuve d initiative pour obtenir des conseils d experts dans les limites du budget de l organisation. Parfois, l entreprise a intérêt à demander l avis des parties prenantes. Par exemple, lorsqu elle doit évaluer le risque lié à la structure de son capital, elle peut demander le point de vue des prêteurs. Il en va de même pour déterminer la tolérance au risque et la propension à prendre des risques, dont il est question à la section VII : il faut comprendre l humeur des actionnaires et le rôle des risques dans leur décision de placement. Rôle de la direction Le soutien du chef de la direction est essentiel à la mise en œuvre du cadre de surveillance des risques. Les membres du personnel qui assument des tâches de gestion des risques, comme les responsables de la gestion des risques et les auditeurs internes, sont tout aussi importants. Grâce à leurs connaissances, leurs compétences, leur indépendance et leurs ressources, ils peuvent aider le conseil à effectuer une analyse objective et faire des observations judicieuses.
Introduction Un cadre de surveillance des risques 13 Paramètres d évaluation des risques En raison de l importante médiatisation des faillites ou des quasi-faillites d entreprises, lorsque les conseils d administration examinent le risque d entreprise, ils se préoccupent généralement des risques catastrophiques qui pourraient menacer la viabilité de l entreprise, ce qui est tout à fait justifié. Cependant, la plupart des entreprises survivent et les conseils d administration de sociétés dont le bilan et les antécédents sont solides pourraient être tentés d accorder moins d attention à la surveillance des risques. Les paramètres d évaluation des risques doivent aller au-delà de l identification de risques qui pourraient compromettre la survie de l entreprise. Nous croyons qu ils devraient comprendre tout événement ou situation pouvant affecter sérieusement la performance à long terme de l entreprise, mener à une importante perte d actifs ou à une importante perte de valeur pour les actionnaires. La combinaison d un solide processus de surveillance des risques géré par le conseil et de paramètres appropriés d évaluation des risques qui englobent les situations pouvant affecter la performance à long terme de l entreprise ou mener à une perte d actifs ou perte de valeur pour les actionnaires présente aussi l avantage indirect d améliorer le rendement de la société et les pratiques de gouvernance, pour toutes les fonctions cruciales de l entreprise. Cadre de surveillance Le cadre de surveillance des risques exposés ci-dessous est expressément adapté pour les conseils d administration. Le processus en neuf étapes qui le constitue vise à aider les conseils à mieux identifier, comprendre et traiter les risques cruciaux. Mais surtout, ce cadre comprend un processus visant à améliorer la compréhension de l interconnectivité des risques et de l effet multiplicateur potentiel de l occurrence simultanée d événements défavorables. Le cadre de surveillance peut également aider les conseils à mieux comprendre la tolérance au risque et la propension au risque de leur entreprise dans le cadre des activités et événements prévus et imprévus, et les guider pour élaborer des mesures ou une stratégie d atténuation.
14 Un cadre de surveillance des risques à l intention des conseils d administration I. Définition du contexte II. Identification des risques III. Première analyse des conséquences IV. Analyse de l interconnectivité et de l effet multiplicateur des risques V. Nouvelle analyse des conséquences VI. Établissement des priorités VII. Évaluation de la tolérance au risque VIII. Stratégie de réponse IX. Suivi
15 I. Définition du contexte Compréhension des conditions actuelles dans lesquelles l entreprise mène ses activités du point de vue interne, externe et sur le plan de la gestion des risques II. Identification des risques Action de consigner tout ce qui constitue une menace importante pour l atteinte des objectifs de l organisation et pour la valeur de ses actifs III. Analyse des conséquences Quantification de l incidence du risque et de sa probabilité de matérialisation IV. Analyse de l interconnectivité et de l effet multiplicateur des risques Regroupement des risques et compréhension de leurs interrelations et interdépendances ainsi que de l effet multiplicateur de leur matérialisation simultanée V. Nouvelle analyse des conséquences Nouvelle quantification et, si possible, établissement des distributions de probabilités des conséquences des risques interreliés VI. Établissement des priorités Classement des risques par ordre d importance, compte tenu de la gravité, de la probabilité qu ils se matérialisent et de la possibilité de les atténuer VII. Évaluation de la capacité d assumer le risque, de la tolérance au risque et de la propension à prendre des risques Détermination de la capacité de l entité à faire face aux conséquences potentielles des risques, de sa tolérance au risque et de sa propension à prendre des risques VIII. Stratégie de réponse Élaboration de plans visant à éviter, à réduire ou à contrôler les risques, à les partager ou à s assurer contre eux, à les accepter ou, dans certains cas, à les exploiter IX. Suivi Évaluation et suivi continus du contexte de risques et des résultats des stratégies de gestion des risques
16 Un cadre de surveillance des risques à l intention des conseils d administration I Définition du contexte 4 I. Définition du contexte II. Identification des risques III. Première analyse des conséquences IV. Analyse de l interconnectivité et de l effet multiplicateur des risques V. Nouvelle analyse des conséquences VI. Établissement des priorités VII. Évaluation de la tolérance au risque VIII. Stratégie de réponse IX. Suivi 4 Voir aussi ISO 31000, 2009.
I Un cadre de surveillance Définition du contexte 17 Pour bien comprendre le contexte de risques d une organisation, il est fondamental de comprendre les conditions actuelles dans lesquelles elle mène ses activités. Cela nécessite à tout le moins une appréciation des éléments suivants : le contexte macroéconomique; les risques géopolitiques; la taille, la nature et les caractéristiques particulières du secteur d activité, des marchés géographiques et de la clientèle; le nombre, la taille relative et les forces des concurrents; les bases de la concurrence. Le conseil devrait demander à la direction des analyses exhaustives du secteur d activité qui fournissent des données sectorielles à jour et des renseignements détaillés sur la concurrence, en particulier des renseignements sur les facteurs déterminants de la réussite de l entreprise. Les conseils devraient aussi reconnaître que des changements subtils dans le secteur d activité ou dans l environnement concurrentiel peuvent indiquer l émergence de tendances importantes susceptibles de créer des risques importants. Généralement, les conseils d administration acquièrent une compréhension contextuelle des conditions dans lesquelles l entreprise mène ses activités dans le cadre de leur rôle de surveillance continue. Cependant dans les secteurs d activité qui évoluent rapidement, il ne faut pas sous-estimer l importance d analyses à jour et exhaustives du marché et de la concurrence.
18 Un cadre de surveillance des risques à l intention des conseils d administration II Identification et classement des risques par catégorie I. Définition du contexte II. Identification des risques III. Première analyse des conséquences IV. Analyse de l interconnectivité et de l effet multiplicateur des risques V. Nouvelle analyse des conséquences VI. Établissement des priorités VII. Évaluation de la tolérance au risque VIII. Stratégie de réponse IX. Suivi
II Un cadre de surveillance Identification et classement des risques 19 L identification et le classement par catégorie des risques susceptibles d avoir une incidence importante sur la performance, la valeur des actifs ou même la viabilité de l entreprise exigent souvent une participation de la direction ainsi que des membres du conseil. Il peut donc être utile pour les conseils d administration de disposer d un cadre qui les aide dans le processus d identification des risques. Le cadre présenté dans les pages qui suivent montre huit catégories de risques, allant des risques stratégiques et opérationnels aux risques externes, en passant par le risque de perte de réputation. Bien que les risques imprévisibles et les risques de non-conformité soient très importants, les conseils et la direction disposent généralement de processus bien établis pour surveiller et gérer ces risques. Pour leur part, les risques de perte de réputation résultent habituellement de la matérialisation d autres risques aux conséquences défavorables. Le présent document mettra donc l accent sur cinq catégories de risques : 1) les risques stratégiques; 2) les risques financiers; 3) les risques organisationnels; 4) les risques opérationnels; 5) les risques externes. Trop souvent, le processus d identification des risques est axé sur les risques externes, tels que les catastrophes naturelles, les actions potentielles de la concurrence et les questions environnementales. Ironiquement, les risques les plus importants se situent fréquemment à l interne. L identification des risques internes exige un conseil vigilant et impartial et, dans la mesure du possible, une équipe de direction objective. Risques stratégiques Risques financiers Risques externes Risques liés au leadership Cadre d identification des risques Risques opérationnels Risques de non-conformité Risques de perte de réputation Risques imprévisibles
20 Un cadre de surveillance des risques à l intention des conseils d administration Exemples de risques stratégiques : tendances et performance imprévisibles du marché; actions de la concurrence; choix de stratégies inefficaces; acquisitions. Exemples de risques financiers : liquidité; disponibilité de capitaux; structure du capital. Exemples de risques organisationnels : participation et qualité du leadership; disponibilité et coût de la direction et de la main-d œuvre; arrimage des cultures. Exemples de risques opérationnels : insatisfaction des clients; défaillance des produits; qualité des services; contraintes liées à la capacité de production; dépendance à l égard des fournisseurs et des distributeurs; qualité et coût des intrants. Exemples de risques externes : volatilité macroéconomique; changements structurels dans le secteur d activité; cycles sectoriels. Exemples de risques imprévisibles : poursuites en responsabilité; dommages matériels; catastrophes naturelles; désastres écologiques. Exemple de risques de non-conformité : non-conformité aux lois et règlements applicables Risques de perte de réputation : risques résultant d actes, d événements et de perceptions (voir l exemple à la page 47)
II.I Un cadre de surveillance Identification et classement des risques Risques stratégiques 21 II.I Risques stratégiques 5 Surveillance de la stratégie par le conseil Les principaux risques liés à la stratégie résultent du choix de stratégies inadéquates dans les circonstances, de l incapacité de l entreprise de mettre en œuvre les stratégies établies et du moment de leur mise en œuvre. Une stratégie maladroite ou maladroitement mise en œuvre entraîne, au mieux, une mauvaise performance et, au pire, menace la viabilité de l entreprise. Pour acquérir une compréhension des risques stratégiques, il est essentiel d identifier, par ordre d importance, les facteurs déterminants de l avantage concurrentiel. Il y a rarement plus de cinq ou six facteurs déterminants cruciaux qui, s ils font l objet d une stratégie inappropriée, peuvent poser des risques énormes. Par exemple, dans le secteur des technologies de pointe, le maintien d un leadership technologique axé sur la demande du marché ainsi que l élaboration et le respect de calendriers de lancement pour les produits et les technologies constituent deux facteurs de réussite ou d échec importants. La mise en parallèle de la surveillance généralement effectuée par le conseil à l égard des risques liés à l information financière et de celle effectuée à l égard des risques inhérents à la stratégie souligne la nécessité que le conseil se penche davantage sur l évaluation des risques stratégiques. Il est vrai que l information financière exacte est essentielle au bon fonctionnement des marchés financiers, mais l importance de la stratégie aux fins de la création de valeur pour les actionnaires est indéniable. Pourtant, le contraste entre la surveillance exercée à l égard de l information financière et celle exercée à l égard de la stratégie est stupéfiant. Presque toutes les sociétés ouvertes ont des systèmes et des processus imposants, des ressources professionnelles bien formées, des règlements, et des processus de validation et de surveillance en vue d assurer l exactitude de l information financière. Celle-ci est régie par des règles et des paramètres bien définis, souvent appelés principes comptables généralement reconnus. Ces principes sont interprétés et modifiés par des ressources considérables au sein de la profession d expert-comptable, et par des organismes de réglementation tels que les commissions de valeurs mobilières. Les bourses exigent que les états financiers annuels soient audités par des cabinets comptables compétents et indépendants. Certaines bourses exigent aussi un audit indépendant des systèmes de contrôle interne. Les entreprises engagent du personnel ayant une formation professionnelle en finance et en comptabilité pour préparer leurs états financiers. Les systèmes de contrôle interne font constamment l objet d évaluations et de validations par des groupes d audit interne qui relèvent directement du comité d audit du conseil d administration. Les comités d audit doivent être constitués d administrateurs compétents et indépendants qui sont chargés de la nomination des auditeurs externes et internes, de la supervision des travaux de ces auditeurs et de la revue des états financiers annuels et trimestriels et des rapports sur les systèmes de contrôle interne. Ces ressources, ces prescriptions, ces règles et ces systèmes internes visent à réduire le risque que l information financière contienne une erreur importante. Par contre, il n existe pas de règle régissant l élaboration et la présentation de la stratégie de l entreprise. Il n existe aucune norme ni aucun titre professionnel à l intention de ceux qui élaborent cette stratégie. Il n existe que de rares procédures de validation indépendante. Il n existe aucun processus établi à l intention des conseils concernant la surveillance de la stratégie. La plupart des conseils ont besoin de meilleurs processus et outils pour effectuer leur surveillance de la stratégie, en particulier en ce qui a trait aux risques stratégiques. 5 Voir aussi 20 Questions que les administrateurs devraient poser sur la stratégie, 3 e édition.
22 Un cadre de surveillance des risques à l intention des conseils d administration Au risque de susciter la controverse et de trop généraliser, nous soutenons que peu d entreprises produisent des plans stratégiques complets et axés sur les faits. La plupart des plans sont truffés de données provenant d observations qui ne sont pas vérifiables. Bon nombre contiennent des affirmations audacieuses au sujet de la direction et du niveau de compétitivité de l entreprise, mais aucun fait concret n appuie ces prétentions. L élaboration de stratégies est loin d être une science exacte. Néanmoins, il est crucial que cette activité repose sur des faits pertinents. Il existe cependant des circonstances dans lesquelles la stratégie elle-même peut être innovatrice, aller à l encontre de l intuition ou n être que conjecture. À titre d exemple, le vaste éventail de produits mis au point par Apple aurait-il même été envisagé si les dirigeants de cette entreprise s en étaient tenus aux seules préférences connues des clients? Malgré cela, il est d une importance critique de disposer de faits pertinents pour établir une stratégie. Dans le cadre de leur rôle de surveillance, les conseils d administration doivent reconnaître que même une équipe de direction hautement compétente peut sous-estimer l importance d évaluer objectivement les avantages et les désavantages concurrentiels de l entreprise par rapport aux facteurs déterminants du secteur. Cela peut conduire à l élaboration de plans stratégiques fondés sur l hypothèse d une croissance soutenue, dans lesquels on ne tient pas compte du risque de ralentissement des activités et on surestime les capacités de l entreprise ou on sous-estime les capacités et les actions de la concurrence. Outils d aide à la surveillance des risques stratégiques à l intention du conseil Le présent document propose plusieurs outils qui pourront aider les conseils à assumer leur rôle de surveillance. Ces outils ne sont pas conçus pour être utilisés par les conseils à l exclusion de la direction. Lorsque l entreprise fait appel à des experts externes, le conseil devrait toujours avoir pleinement accès à leurs rapports et présentations orales. Validation de la stratégie de différenciation des produits et des services Entrevues indépendantes avec des clients L obtention d un avantage concurrentiel par la différenciation des produits ou des services constitue un aspect crucial de n importe quelle stratégie de croissance interne. Dans n importe quel secteur d activité, les concurrents prétendent inévitablement que leurs produits ou services sont supérieurs à ceux des autres. Comment le conseil peut-il comprendre et valider la proposition de valeur de l entreprise à l intention des clients? Comment le conseil peut-il constater que l entreprise commence à perdre son avantage concurrentiel et que des changements sont nécessaires? Le fait d engager un cabinet externe pour mener des entrevues périodiques avec des clients constitue une démarche utile en vue de l évaluation de la stratégie (et des risques connexes). Bien que bon nombre d entreprises aient institutionnalisé les sondages de satisfaction de la clientèle, ces sondages ont tendance à fournir des informations non concluantes pour plusieurs raisons, notamment la conception des questions, le parti pris dans les réponses, le type de répondants et le manque de comparaison avec la concurrence. Les meilleurs modèles d étude de l opinion des consommateurs sont ceux dans le cadre desquels on fait appel à un cabinet externe (généralement un cabinet-conseil en stratégie) qui aide à la conception du sondage, à la sélection des répondants, à la conduite du sondage et à l analyse des résultats. Dans la conception du sondage, il est important de poser les bonnes questions en ce qui a trait à la stratégie. Par exemple, pour comprendre